SGGPO
Após relatos da campanha Operação Triangulação visando dispositivos iOS, especialistas da Kaspersky esclarecem os detalhes do spyware usado no ataque.
 |
| O malware TriangleDB atingiu dispositivos iOS |
A Kaspersky divulgou recentemente uma nova campanha de APT (Ameaça Persistente Avançada) para dispositivos móveis, direcionada a dispositivos iOS via iMessage. Após uma investigação de seis meses, os pesquisadores da Kaspersky publicaram uma análise aprofundada da cadeia de exploits e descobertas detalhadas sobre a infecção por spyware.
O malware, chamado TriangleDB, é implantado explorando uma vulnerabilidade que lhe permite obter acesso root em dispositivos iOS. Uma vez iniciado, ele opera apenas na memória do dispositivo, de modo que os vestígios da infecção desaparecem quando o dispositivo é reiniciado. Assim, se a vítima reiniciar o dispositivo, o invasor precisa reinfectar o dispositivo enviando outra iMessage com um anexo malicioso, reiniciando todo o processo de exploração.
Se o dispositivo não for reiniciado, o software será desinstalado automaticamente após 30 dias, a menos que os invasores estendam esse período. Atuando como um spyware sofisticado, o TriangleDB realiza uma variedade de funções de coleta e monitoramento de dados.
O software inclui 24 comandos com funções diversas. Esses comandos atendem a diversos propósitos, como interagir com o sistema de arquivos do dispositivo (incluindo criar, modificar, extrair e excluir arquivos), gerenciar processos (listar e encerrar), extrair strings para coletar credenciais da vítima e monitorar a localização geográfica da vítima.
Ao analisar o TriangleDB, os especialistas da Kaspersky descobriram que a classe CRConfig contém um método não utilizado chamado populateWithFieldsMacOSOnly. Embora não seja usado na infecção do iOS, sua presença sugere a possibilidade de atingir dispositivos macOS.
A Kaspersky recomenda que os usuários tomem as seguintes medidas para evitar se tornarem vítimas de ataques direcionados: Para proteção, investigação e resposta de endpoints, use uma solução de segurança corporativa confiável, como a Kaspersky Unified Monitoring and Analysis Platform (KUMA); Atualize os sistemas operacionais Microsoft Windows e softwares de terceiros o mais rápido possível e regularmente; Forneça às equipes do SOC acesso à mais recente Inteligência de Ameaças (TI). A Kaspersky Threat Intelligence é uma fonte de acesso simples para TI corporativa, fornecendo 20 anos de dados e insights sobre ataques cibernéticos da Kaspersky; Equipe as equipes de segurança cibernética para lidar com as ameaças direcionadas mais recentes com o curso de treinamento online da Kaspersky, desenvolvido por especialistas da GreAT; Como muitos ataques direcionados começam com táticas de phishing ou engenharia social, ofereça treinamento de conscientização em segurança e treinamento de habilidades aos funcionários da sua empresa, como a Kaspersky Automated Security Awareness Platform…
“À medida que nos aprofundamos no ataque, descobrimos que essa sofisticada infecção para iOS tinha várias características estranhas. Continuamos analisando a campanha e manteremos todos atualizados à medida que aprendemos mais sobre esse ataque sofisticado. Instamos a comunidade de segurança cibernética a compartilhar conhecimento e colaborar para obter uma visão mais clara das ameaças existentes”, disse Georgy Kucherin, especialista em segurança da Equipe Global de Pesquisa e Análise da Kaspersky.
Fonte
Comentário (0)